Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

ターゲット指定 (参照)

本節では、ポリシーと構成の適用先をアプリケーションマシンオペレーティングシステムユーザーの観点でどう絞り込むか、また変数ワイルドカードで指定を簡潔に保ちつつ拡張しやすくする方法を説明します。

アプリケーション、マシン、OS、ユーザーのターゲット指定

ポリシーとデプロイの適用範囲は、 (ユーザー)、 (アプリケーション、コマンド、ファイル)、どこ (マシン、オペレーティングシステム) で決まります。ポリシーや展開グループを作成するときにフィルターで指定します。

アプリケーション

  • 概要: ポリシー評価の対象となる、ユーザーが起動済みまたは起動しようとしている実行ファイルやアプリ。例: notepad.execmd.exe、または C:\Program Files\MyApp\app.exe のようなパス。

  • 指定方法: ポリシーのアプリケーションフィルターで、適用するアプリケーションを指定します。完全一致の名前、パス、または変数とワイルドカードを使ったパターンが使えます (後述)。アプリ単位で昇格、ファイルアクセス、コマンド実行を許可または制限できます。

マシン

  • 概要: エージェントが動いているエンドポイント (コンピューターまたはデバイス)。ホスト名、展開グループ、またはコンソールが使うその他の識別子でマシンを指定できます。

  • 指定方法: ポリシーのマシンフィルター (または展開グループの割り当て) で、適用するマシンを選びます。コレクションやグループを使うと、1件ずつ列挙せずに多数のマシンを1本のポリシーで扱えます。

オペレーティングシステム

  • 概要: エンドポイントのOS。Windows、Linux、macOSの3つです。Keeperエンドポイント特権マネージャー (EPM) はいずれにも対応しており、ポリシーとジョブは複数OS共通の定義にも、OSごとの定義にもできます。

  • 指定方法: ポリシーやジョブを定義するとき、必要に応じてプラットフォームで範囲を限定できます。パス変数 (後述) を使うと、OSごとに正しいパスに置き換えられます。

ユーザー

  • 概要: 操作の主体となる、エンドポイント上またはディレクトリサービス上 (例: AD/Azure AD) のユーザーアカウントまたはグループ。

  • 指定方法: ポリシーのユーザーフィルターで、適用するユーザーまたはグループを指定します。コレクションとワイルドカードを使えば、1本のポリシーを多数のユーザーに適用できます。

ポリシー内のフィルター (ユーザー、マシン、アプリケーション、および日時ルール) がすべて一致すると、その要求に対してそのポリシーが適用候補になります。続いて優先順位のルール (例: より具体的なポリシーが広いポリシーより優先) に従って実際に効くポリシーが決まり、そのポリシーに定められたコントロールが適用されます。ポリシーの挙動の詳細は、ポリシーの詳細をご参照ください。

変数

変数は、各エンドポイント上で実際のパスや値に展開されるプレースホルダーです。1つのポリシーで多数のマシンとOSに対応でき、パスをハードコードしなくてよくなります。

書式

変数は波括弧で囲みます。形式は {variableName} のようになります。例: {userprofile} はWindowsでは C:\Users\jane、macOSでは /Users/jane に展開されることがあります。

よく使う変数 (例)

ポリシーフィルターや構成で、例として次のような変数が使えます (正確な名前は製品のバージョンによります。ここでは代表的な例です)。

  • 全プラットフォーム: {rootdir}{documents}{userdesktop}{home}{tmp}

  • Windows: {systemroot}{system32}{programfiles}{userprofile}{appdata}{programdata}{temp}

  • Linux/macOS: {bin}{etc}{usr}{var}{applications} (macOS)、{library} (macOS)。

C:\Users\*/Users/* と書く代わりに {userprofile}{home} を使うと、同じポリシーがWindowsとmacOSの両方で使えます。各エンドポイントでは、評価のタイミングでこれらが展開されます。

変数を使う理由

  • クロスプラットフォーム: 1本のポリシーでWindows、Linux、macOSに対応できる。

  • 保守しやすい: ドライブ文字やインストール先が変わってもパスを更新しなくてよい。

  • 一貫している: 論理的な意味がどこでも同じ (例: 「ユーザーのドキュメント」は常に {documents})。

コンソールやポリシーエディターが変数に対応している箇所 (例: アプリのパス、ファイルパス、フォルダフィルター) では、変数を使ってください。

変数の詳細については、変数をご参照ください。

ワイルドカード

ワイルドカードを使うと、1つのルールで多数の名前やパスにまとめて一致させられ、アプリやファイルを1件ずつ列挙する手間を減らせます。

一般的な動作

  • * は、多くの場合、その位置の名前やパスで「任意の文字列」に一致します。例: *.exe.exe で終わる実行ファイルすべてに一致します。{programfiles}\*\*.exe は Program Files 配下の任意のサブフォルダにある .exe に一致する場合があります。

  • パス変数はワイルドカードと組み合わせられます。例: {userprofile}\Documents\*.pdf はユーザーのドキュメントフォルダ内のPDFすべてに一致します。

  • 前方一致はフォルダ指定に多く使われます。例: フォルダフィルターが {downloads} のとき、ユーザーのダウンロードフォルダとそのサブフォルダ内のファイルすべてに含まれる場合があります。

ワイルドカードや前方一致の細かいルールはポリシー種類 (例: アプリケーションとファイルアクセス) によって異なります。ダッシュボードまたはポリシーUIで、画面ごとに利用できるパターンが示されます。

ワイルドカードを使う理由

  • 規模: 1本のポリシーで多数のアプリやファイルをカバーできる (例: 「このフォルダ内のスクリプトすべて」「Program Files内の実行ファイルすべて」)。

  • 柔軟性: パターンに合う新しいアプリやファイルが自動的に対象に含まれる。

  • 単純さ: 保守するルールの数を減らせる。

アプリケーションフィルター、ファイル/フォルダフィルター、コマンドラインルールなど、ワイルドカードが使える箇所では積極的に使ってください。変数と組み合わせると、ポリシーを強力に保ちつつ運用しやすくなります。

ワイルドカードの詳細については、ワイルドカードをご参照ください。

前へデプロイパッケージ、エージェント、要求次へポリシー

最終更新